FORBIT FORSCHUNGS- UND BERATUNGSGESELLSCHAFT INFORMATIONSTECHNOLOGIE mbh S. 1 Betriebsvereinbarung zum Einsatz von E-Mail und WWW im Betrieb Ulrich Mott FORBIT GmbH Private Nutzung erlauben? Der Ausgangspunkt für Auseinandersetzungen zum Thema Internet/ E-Mail ist häufig die Frage: Ist die private Nutzung erlaubt? In welchem Umfang? Darf sie vom Arbeitgeber kontrolliert werden? Was geschieht bei Mißbrauch? Dabei hat sich bei vielen Arbeitgebern mittlerweile herumgesprochen, dass es rechtliche Folgen hat, wenn man die private Nutzung erlaubt. Häufige Reaktion: Wenn wir bei privater Nutzung alle möglichen Gesetze einhalten müssen, dann verbieten wir sie lieber." Richtig ist: Wenn die private Nutzung erlaubt wird, gilt der Arbeitgeber als Provider" (als jemand, der geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt) und muß das Fernmeldegeheimnis aus dem Telekommunikationsgesetz und das Teledienste-Datenschutzgesetz einhalten. Damit ist eine Mißbrauchskontrolle erst einmal ausgeschlossen. Falsch ist, dass das Verbot die einzige Möglichkeit ist, das Problem zu lösen. Außerdem ist ein Verbot in vielen Fällen nicht gewollt: die Arbeitnehmer und ihre Vertretungen wollen sich die Möglichkeit der privaten Nutzung offen halten und auch die Arbeitgeber haben häufig im Prinzip nichts dagegen, solange der betriebliche Ablauf nicht gestört wird. Bevor mögliche Lösungen diskutiert werden, soll hier kurz die Technik der (dienstlichen) Internetnutzung erläutert werden.
FORBIT FORSCHUNGS- UND BERATUNGSGESELLSCHAFT INFORMATIONSTECHNOLOGIE mbh S. 2 Technik und Protokollierung der Internet-/ E-Mailnutzung Beim Aufruf einer Internetseite werden die Anfragen von Arbeitsplatzcomputer in der Regel über einen Proxy-Server und eine Firewall ins Internet weitergeleitet. Dabei entstehen an vielen Stellen Daten, die zur Leistungs- und Verhaltenskontrolle geeignet sind. Web Internet Firewall Unternehmen / Behörde Provider Proxy LAN Intranet Mail Spuren der WWW- oder E-Mail Nutzung entstehen durch den Browser /das Mail-Programm auf dem eigenen PC (oder im persönlichen Bereich des Lokalen Netzes), an zentraler Stelle z. B. im Proxy Server, und ggf. beim Provider. Diese Protokolle werden zum Teil von den Systemverwaltern benötigt, um die Sicherheit und den ordnungsgemäßen Betrieb der Systeme sicherzustellen. Andererseits möchte der Betriebsrat eine Leistungs- und Verhaltenskontrolle weitgehend ausschließen. In der Abwägung der Persönlichkeitsrechte der Betroffenen auf der einen Seite und den Notwendigkeiten der betrieblichen Abläufe auf der anderen gibt es im Zusammenhang mit der Protokollierung der Internet- / E-Mailnutzung folgende Regelungsansätze:
FORBIT FORSCHUNGS- UND BERATUNGSGESELLSCHAFT INFORMATIONSTECHNOLOGIE mbh S. 3 Zweck festlegen: Der Zweck der Protokollierung sollte bestimmt werden, z.b.: Fehlerbehebung, Sicherheit, Abrechnung. Dabei kann es sinnvoll sein, für diese Daten die besondere Zweckbindung des 31 BDSG festzulegen. Datenumfang beschränken Es muß nicht alles protokolliert werden, was mit Hilfe der Software möglich ist. So kann man bei der Protokollierung der versandten und empfangenen E-Mails die Betreffzeile, die ja Hinweise auf den Inhalt enthält, häufig weglassen. Zugriff beschränken Der Zugriff auf die Protokolldaten sollte auf die entsprechenden Mitarbeiter der EDV-Abteilung beschränkt sein. Auswertungen festlegen Wenn es Auswertungen der Protokolldaten, z.b. mit spezieller Software, gibt, sollten diese abschließend festgelegt werden. Speicherdauer beschränken Die Daten sollten nicht länger als unbedingt erforderlich gespeichert werden. Zur Fehlersuche reichen die Daten weniger Tage in der Regel aus. Aggregieren / Anonymisieren Für bestimmte Zwecke, z.b. für die Zuordnung der Kosten, reichen aggregierte Daten. Für andere Zwecke, z.b. Statistiken, sind anonymisierte Daten ausreichend. Bei Mißbrauchskontrolle abgestuftes Verfahren Für den Fall, daß ein Betriebsrat eine Mißbrauchskontrolle akzeptiert, sind abgestufte Verfahren denkbar, die eine permanente Kontrolle verhindern, z.b. bei begründetem Mißbrauchsverdacht Gespräch mit dem Betroffenen, Einsicht in die Daten nur unter Hinzuziehung des Personalrates oder Einschalten der Protokollierung erst bei begründetem Mißbrauchsverdacht. In einer Betriebsvereinbarung muß festgelegt werden, welche dieser Ideen umgesetzt werden sollen, um die Nutzung der Protokolle zu beschränken. Regelung der privaten Nutzung Wie geht man nun mit der privaten Nutzung um? Außer den oben erwähnten Möglichkeiten generelles Verbot und genereller Verzicht auf Kontrolle kann man
FORBIT FORSCHUNGS- UND BERATUNGSGESELLSCHAFT INFORMATIONSTECHNOLOGIE mbh S. 4 1. die private und technische Nutzung technisch trennen. Die private Nutzung läuft dann z.b. über einen anderen Proxy und wird nicht protokolliert. Dies bedeutet allerdings zusätzlichen technischen Aufwand und schließt die von Arbeitgeber oft gewünschte Kontrolle der privaten Nutzung im Falle des Mißbrauchs weiterhin aus. 2. kann man die private Nutzung den gleichen Bedingungen unterwerfen wie die dienstliche. Dazu müssen die Beschäftigten eine Erklärung unterschreiben, in der sie einwilligen, dass ihre private Nutzung den gleichen Protokollierungen und Auswertungsmöglichkeiten unterliegt wie die dienstliche. Weitere Regelungen in einer Betriebsvereinbarung: Neben den üblichen einleitenden Bestimmungen (Präambel, Gegenstand, Geltungsbereich etc.) sind es vor allen Dingen die folgenden Regelungsgegenstände, die zu Diskussionen Anlaß geben: Umfang der Nutzung Wer hat Zugang? Um alle Beschäftigen an der Technik teilhaben zu lassen, erscheint es sinnvoll, alle Arbeitsplätzen mit E-Mail und WWW-Zugang auszustatten. Zumindest für die Arbeitsplätze mit Computeranschluß ist das häufig unproblematisch festzuschreiben. Wenn nur bestimmte Arbeitsplätze mit dem Zugang ausgestattet werden, sollte sich die Auswahl aus der Notwendigkeit der Arbeit ergeben. Wenn der interne Informationsaustausch über das Intranet von einiger Bedeutung ist, müssen Regelungen für die Beschäftigten ohne eigenen Computeranschluß getroffen werden. Für welche Zwecke? Viele Arbeitgeber dulden die gelegentliche private Nutzung des Internets. Gleichzeitig soll aber häufig die eigentlich selbstverständliche Tatsache, daß diese Arbeitsmittel für die Erledigung der Arbeit zur Verfügung gestellt werden, betont werden. Die private Nutzung völlig zu verbieten ist nicht sinnvoll, da sich bestimmte Angelegenheiten über E-Mail schneller abwickeln lassen als mit (in der Regel erlaubten) privaten Telefonaten. Außerdem fallen keine nennenswerten Telekommunikations-Kosten an. Sperrung bestimmter Inhalte Wenn durch zusätzliche Software oder Filter bestimmte Adressen oder z.b. bestimmte Typen von E-Mailanhängen gesperrt werden sollen, ist es wichtig darauf zu achten, daß dadurch die Arbeit nicht behindert wird und daß durch die Soft-
FORBIT FORSCHUNGS- UND BERATUNGSGESELLSCHAFT INFORMATIONSTECHNOLOGIE mbh S. 5 ware keine zusätzlichen Protokolle mit Möglichkeiten der Leistungs- und Verhaltenskontrolle entstehen. Umgang mit E-Mail Der Umgang mit dem Kommunikationsmittel E-Mail führt zu vielen praktischen Fragen, die häufig diskutiert und vereinbart werden, u.a.: Vertraulichkeit der Inhalte Es sollte festgelegt werden, daß der Zugriff auf E-Mails grundsätzlich nur durch den Empfänger zulässig ist. Das sollte auch nicht durch die Art der Archivierung und die Speicherung von Kopien unterlaufen werden. Ein Zugriff durch den Administrator ist in vielen E-Mail-Systemen jedoch technisch nicht zu verhindern. Abwesenheits-/ Vertretungsregelung Die Frage, was bei geplanter oder ungeplanter Abwesenheit mit den eingegangenen Mails passiert, ist häufig umstritten. Durch die Vergabe von funktionsbezogenen und persönlichen E-Mail-Adressen läßt sich das Problem mildern. Die Mail- Systeme bieten die Funktionen Vertreter und Abwesenheitsagent. Ein Freischalten des Postfaches durch den Administrator sollte eine Notlösung bleiben. Verschlüsselung Vertrauliche Inhalte oder personenbezogene Daten sollten per E-Mail nur verschlüsselt verschickt werden, in vielen Betrieben fehlt dazu aber noch die nötige Infrastruktur. Weitere Funktionen (Kalender,Workflow) Weitere Funktionen der Mailsysteme, die in Richtung Groupware oder Workflow gehen, werfen so viele Fragen auf, daß sie nicht in einer Dienstvereinbarung zu E- Mail/Internet mit erledigt werden sollten. Nutzung durch den Betriebsrat Um die Technik auch für seine Zwecke nutzen zu können, sollte der Betriebsrat sich die Möglichkeit sichern, E-Mails über Verteiler an alle Beschäftigten zu schikken, eigene Informationsangebote im Intranet bereitzustellen und einen PC mit Internet-Zugang zur Verfügung zu haben.
FORBIT FORSCHUNGS- UND BERATUNGSGESELLSCHAFT INFORMATIONSTECHNOLOGIE mbh S. 6 Schulung Der Schulung der BenutzerInnen kommt eine besondere Bedeutung zu. Insbesondere ist der Umfang der Schulung oft strittig. Neben dem reinen Bedienwissen, das bei den modernen Mailprogrammen schon recht hohe Anforderungen stellt, sollten auch Fragen des Datenschutzes, der Datensicherheit und die Dienstvereinbarung Inhalt der Schulung sein. Auch auf eine ausreichende Schulung der Administratoren sollten man achten. Datensicherheit Um die Maßnahmen zur Datensicherheit, die die Behörde nach 9 BDSG zu ergreifen hat, sollte sich der Personalrat schon aufgrund seines Überprüfungsaufgabe nach 80 (1) Nr. 1 BetrVG kümmern. Daher sollte er sich das Datensicherheits- / Datenschutzkonzept vorlegen lassen. Insbesondere die Frage, welche Daten unter welchen Voraussetzungen (z.b. Verschlüsselung) wohin übermittelt werden dürfen, ist häufig noch unklar und muß festgelegt werden. Das Datenschutzkonzept kann als Anlage der Dienstvereinbarung zugefügt werden. Zu diesen speziellen Regelungsgegenständen kommen solche, die auch in anderen Betriebsvereinbarungen über EDV enthalten sind, wie Mitbestimmungsrechte bei Änderungen, Kontrollrechte, Verfahren bei Verstößen, Verwertungsverbot für Erkenntnisse aus unzulässiger Datennutzung, Schlußbestimmungen. Die Fragen des Gesundheitsschutzes bei Bildschirmarbeit erhalten unter Umständen eine neue Bedeutung, da sich durch die Einführung dieser Techniken die Arbeitszeit am Bildschirm erhöht. Meist werden aber Regelungen zu diesem Thema separat abgeschlossen. Ulrich Mott, Diplom-Informatiker, seit vielen Jahren in der Beratung von Personal- und Betriebsräten tätig, Referent auf Seminaren für Personal- und Betriebsräte, u.a. zu Mitbestimmung bei Internet / E-Mail. Forbit GmbH, Eimsbüttelerstr. 18, 22769 Hamburg, Tel. 040-439 23 36, http://www.forbit.de, mail@forbit.de